Check Point revela implementação de firmware malicioso para routers TP-Link

João Fernandes Por
maio 20, 2023
Check Point revela implementação de firmware malicioso para routers TP-Link
Notícias

Recentemente, a Check Point Research, equipa de investigação da Check Point Software, líder mundial de soluções de cibersegurança, investigou uma sequência de ciberataques direcionados a entidades europeias dos negócios estrangeiros e atribuiu-os a um grupo de Ameaça Persistente Avançada (APT) patrocinado pelo Estado chinês, denominado de "Camaro Dragon" pelo CPR. Esta atividade tem sobreposições significativas de infraestruturas com atividades publicamente associadas ao "Mustang Panda". A nossa investigação descobriu uma implementação de firmware malicioso criado para routers TP-Link que continha vários componentes nocivos, incluindo uma backdoor personalizada denominada "Horse Shell". Esta backdoor permitia que os atacantes assumissem o controlo total do dispositivo infetado, não fossem detetados e acedessem a redes comprometidas. A análise minuciosa do CPR expôs estas táticas maliciosas e fornece uma análise aprofundada.

Iremos aprofundar os detalhes complexos que analisam o implante de router "Horse Shell" e partilhar os nossos conhecimentos sobre a funcionalidade do implante, comparando-o com outros implantes de router associados a outros grupos chineses patrocinados pelo Estado. Ao examinar esta implementação, esperamos esclarecer as técnicas e táticas utilizadas pelo grupo Camaro Dragon APT para compreender melhor como os agentes de ameaças utilizam implantes de firmware malicioso em dispositivos de rede para os seus ataques. 

O Ataque

A investigação sobre a atividade do "Camaro Dragon" foi de uma campanha dirigida principalmente a entidades europeias de negócios estrangeiros. No entanto, apesar de se ter encontrado o Horse Shell na infraestrutura atacante, não se sabe quem são as vítimas da implementação nos routers.

A implementação nos routers é frequentemente efetuada em dispositivos arbitrários sem qualquer interesse particular, com o objetivo de criar uma cadeia de ligações entre as principais infeções e o verdadeiro comando e controlo. Por outras palavras, infetar um router doméstico não significa que o proprietário da casa tenha sido especificamente visado, mas sim que é apenas um meio para atingir um objetivo.

Não temos a certeza de como é que os atacantes conseguiram infetar os dispositivos de router com a sua implementação maliciosa. É provável que tenham obtido acesso a estes dispositivos através da pesquisa de vulnerabilidades conhecidas ou visando dispositivos que utilizavam palavras-passe predefinidas/fracas e facilmente decifráveis para autenticação.

As nossas descobertas contribuem não só para uma melhor compreensão do grupo Camaro Dragon e do seu conjunto de ferramentas, mas também para a comunidade de cibersegurança em geral, fornecendo conhecimentos cruciais para a compreensão e defesa contra ameaças semelhantes no futuro.

Não só o TP-Link

A descoberta da natureza independente do firmware dos componentes implementados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco.

Além disso, a nossa descoberta da natureza independente do firmware dos componentes implementados indica que uma vasta gama de dispositivos e fornecedores pode estar em risco. Esperamos que a nossa investigação contribua para melhorar a postura de segurança das organizações e dos indivíduos. Entretanto, é importante manter os dispositivos de rede atualizados e protegidos e ter cuidado com qualquer atividade suspeita na rede.

Proteger a sua rede

A descoberta da implementação maliciosa do Camaro Dragon em routers TP-Link realça a importância de tomar medidas de proteção contra ataques semelhantes. Seguem-se algumas recomendações para deteção e proteção:

  • Atualização de Software

A atualização regular do firmware e do software dos routers e de outros dispositivos é crucial para evitar vulnerabilidades que os atacantes possam explorar.

  • Credencias predefinidas

Altere as credenciais de início de sessão predefinidas de qualquer dispositivo ligado à Internet para palavras-passe mais fortes e utilize a autenticação multifator sempre que possível. Os atacantes procuram frequentemente na Internet dispositivos que ainda utilizam credenciais predefinidas ou fracas.

  • Utilizar produtos da Check Point Software

As soluções de segurança de rede da Check Point fornecem prevenção avançada de ameaças e proteção de rede em tempo real contra ataques sofisticados como os utilizados pelo grupo Camaro Dragon APT. Isto inclui proteção contra explorações, malware e outras ameaças avançadas. O Quantum IoT Protect da Check Point identifica e mapeia automaticamente os dispositivos IoT e avalia o risco, impede o acesso não autorizado a e de dispositivos IoT/OT com perfil e segmentação de confiança zero, e bloqueia ataques contra dispositivos IoT.

Os fabricantes podem fazer o melhor para proteger os seus dispositivos contra malware e ciberataques. Os novos regulamentos nos EUA e na Europa exigem que os vendedores e fabricantes garantam que os dispositivos não representam riscos para os utilizadores e incluam funcionalidades de segurança no dispositivo.

 

Classifique este item
(0 votos)
Ler 724 vezes
Tagged em
Mais nesta categoria: « Aplicações falsas do ChatGPT burlam utilizadores em milhares de dólares A importância do trabalho científico acadêmico »

Itens relacionados

Top